Stream cipher. Cifrari simmetrici. Stream cipher. Sicurezza su reti I cifrari simmetrici possono essere: Cifrari a blocchi: Stream Cipher:

Transcript

1 Stream cipher Barbara Masucci Dipartimento di Informatica Università di Salerno Cifrari simmetrici I cifrari simmetrici possono essere: Cifrari a blocchi: trasformazione di grandi blocchi del testo in chiaro Stream Cipher: trasformazione, dipendente dal tempo, di singoli caratteri del testo in chiaro 1 Stream cipher Cifra il messaggio un byte (o bit) alla volta Utilizza una sequenza (keystream) pseudo-casuale generata a partire dalla chiave (e dal messaggio) Cifra il messaggio mediante la keystream Testo in chiaro M 0 M 1 M 2 M 3 M i Keystream z 0 z 1 z 2 z 3 z i Testo cifrato C 0 C 1 C 2 C 3 C i Su alfabeto binario: C i = M i XOR z i 2 1

2 Stream cipher K K Generatore di byte pseudocasuali Generatore di byte pseudocasuali Flusso di dati z Flusso di dati cifrati z Flusso di dati Cifratura Decifratura 3 Stream cipher Molto più veloci dei cifrari a blocchi Poche linee di codice Operazioni semplici Per complicare la crittoanalisi keystream con lungo periodo (più tardi inizia a ripetersi, meglio è) keystream con le stesse caratteristiche di una sequenza casuale Dovrebbe avere lo stesso numero di 0 e di 1 Se vista come sequenza di byte, ciascuno dei 256 valori possibili dovrebbe apparire lo stesso numero di volte 4 Stream cipher Descriveremo: Cifrario autokey LSFR ( Shift Register) RC4 5 2

3 Cifrario Autokey Testo in chiaro lettere 0,1,, 25 Keystream z 0 = K, z i = M i-1 per i=1,2, Testo cifrato C i = M i + z i mod 26 Esempio con chiave k=5 testo in chiaro: CIAO ( ) chiave keystream: cifrato: HKIO 6 Cifrario Autokey Proviamolo insieme, collegandoci al link streamciphers/frameiniziale.html 7 Cifrario Autokey Testo in chiaro lettere 0,1,, 25 Keystream z 0 = K, z i = M i-1 per i=1,2, Testo cifrato C i = M i + z i mod 26 Quanto è sicuro? 8 3

4 Cifrario Autokey known ciphertext attack Testo in chiaro M 0 M 1 M 2 M 3 M i Keystream K M 0 M 1 M 2 M i-1 Testo cifrato C 0 C 1 C 2 C 3 C i C 0 = M 0 + K mod 26 C i = M i + M i-1 mod 26, i=1,2, 9 Cifrario Autokey known ciphertext attack Testo in chiaro M 0 M 1 M 2 M 3 M i Keystream K M 0 M 1 M 2 M i-1 Testo cifrato C 0 C 1 C 2 C 3 C i C 0 = M 0 + K mod 26 C i = M i + M i-1 mod 26 Solo 26 chiavi! 10 Cifrario Autokey known ciphertext attack 11 4

5 i = 0,1,2, Ricorrenza lineare di grado m Coefficienti c 0 c 1 c m-1 (costanti binarie predeterminate) Inizializzazione: z 0 = k 0, z m-1 = k m-1 Implementazione hardware efficiente 12 Fissati m coefficienti c 0 c 1 c m-1 i = 0,1,2, Chiave: i valori di inizializzazione k 0 k 1 k m-1 e i coefficienti c 0 c 1 c m-1 Testo in chiaro M 0 M 1 M 2 M 3 M 4 Keystream z 0 z 1 z 2 z 3 z 4 Testo cifrato Y 0 Y 1 Y 2 Y 3 Y 4 Esempio Y i =M i z i 13 m=4 z i+4 = z i + z i+1 mod 2 i=0,1,2, Inizializzazione: z 0 = 1 z 1 = 0 z 2 = 0 z 3 = 0 Keystream:

6 z i+4 = z i + z i+1 mod 2 i=0,1,2, Inizializzazione: z 0 = 1 z 1 = 0 z 2 = 0 z 3 = 0 15 z i+4 = z i + z i+1 mod 2 i=0,1,2, Inizializzazione: z 0 = 1, z 1 = 0, z 2 = 0, z 3 = 0 16 z i+4 = z i + z i+1 mod 2 i=0,1,2, z i+4 z i z i+1 z i+2 z i+3 Inizializzazione: z 0 = 1, z 1 = 0, z 2 = 0, z 3 = 0 Keystream di periodo 15:

7 streamciphers/frameiniziale.html LFSR: Crittoanalisi Known Plaintext Attack Oscar conosce testo in chiaro: M 0 M n testo cifrato: Y 0 Y n e può calcolare z 0 z n (z i =M i Y i ) Se n 2m e conosce anche m, può computare i coefficienti c 0,c 1,,c m-1 e quindi l intera keystream Tutte le operazioni sono lineari! 20 7

8 LFSR: Crittoanalisi z 1 z 2 z m (z m+1,z m+2,,z 2m )= (c 0,c 1,,c m-1 ) z 2 z 3 z ( m+1 ) z m z m+1 z 2m-1 m equazioni lineari in m incognite c 0, c m-1 21 LFSR: Crittoanalisi z 1 z 2 z m -1 (c 0,c 1,,c m-1 )= (z m+1,z m+2,,z 2m ) z 2 z 3 z ( m+1 ) z m z m+1 z 2m-1 La matrice inversa esiste se il determinante è diverso da zero 22 LFSR: Crittoanalisi 23 8

9 RC4 Ideato da Ron Rivest nel 1987 Parametri Dimensione della chiave: variabile (da 1 a 256 byte) Altre caratteristiche: Genera una keystream con periodo maggiore di Usa operazioni orientate ai byte Semplice da implementare e da analizzare Implementato in numerosi prodotti SSL/TLS per la comunicazione sicura sul Web WEP per le reti wireless 24 RC4 Usa un vettore di byte S contenente una permutazione degli interi da 0 a 255 S[0] S[255] Inizializzazione S[i]=i, i=0,,255 Genera la keystream da S, un byte alla volta k rappresenta un byte della keystream Effettua lo XOR di ciascun byte della keystream con un byte del testo in chiaro Dopo aver generato ogni byte della keystream, permuta il vettore S 25 RC4: la chiave K[0] K[h-1] vettore della chiave, di h byte 1 h 256 T[0] T[255] vettore allungato, di 256 byte T[i]=K[i mod h] For i=0 to 255 do S[i]=i; T[i]=K[i mod h]; 26 9

10 RC4: aggiornamento T è usato per aggiornare il vettore S Produce una permutazione, scambiando ciascun S[i] con un S[j], dipendente da S[i] e T[i] Dopo l aggiornamento, la chiave non viene più usata j=0 for i=0 to 255 do j=(j+s[i]+t[i]) mod 256; Swap(S[i],S[j]); 27 RC4: la keystream Il vettore S è usato per generare la keystream i,j=0 while (true) i=i+1 mod 256; j=(j+s[i]) mod 256; k Swap(S[i],S[j]); t=(s[i]+s[j]) mod 256; k=s[t] Effettua lo XOR del byte k con il prossimo byte del testo in chiaro 28 RC

11 RC4 30 RC4 31 Wired Equivalent Privacy (WEP) Protocollo per garantire confidenzialità su reti wireless Usa una password condivisa tra utenti e access point lunga 40 bit Per ogni pacchetto da inviare viene scelto un vettore IV di 24 bit La chiave RC4 di 64 bit si ottiene combinando i due valori (password + IV) Il messaggio cifrato con RC4 e il vettore IV vengono inviati sul canale 32 11

12 WEP: attacchi Nel 2001 scoperto un attacco al protocollo WEP Problema nella generazione della chiave in input a RC4 Il problema non dipende da RC4 Proposte modifiche a WEP per rendere vano l attacco 33 Cryptography and Network Security by W. Stallings (2005) cap. 6 (RC4) Cryptography: Theory and Practice by D. Stinson (1995) cap. 1 (autokey, LFSR) Tesina di Sicurezza su reti Crittografia classica a.a